Azure-beveiligingsbasislijn voor Virtual Network

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Azure Virtual Network. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Virtual Network.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Virtual Network, of waarvoor de verantwoordelijkheid van Microsoft is, zijn uitgesloten. Als u wilt zien hoe Virtual Network volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Virtual Network toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en netwerkinterfaces bewaken en registreren

Richtlijnen: Gebruik Microsoft Defender for Cloud en volg aanbevelingen voor netwerkbeveiliging om uw netwerkresources in Azure te beveiligen.

Stuur stroomlogboeken van netwerkbeveiligingsgroepen naar een Log Analytics-werkruimte en gebruik Traffic Analytics om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Traffic Analytics biedt de mogelijkheid om netwerkactiviteit te visualiseren en hot spots te identificeren, beveiligingsrisico's te identificeren, inzicht te hebben in verkeersstroompatronen en onjuiste netwerkconfiguraties vast te stellen.

Gebruik Azure Monitor-logboeken om inzicht te krijgen in uw omgeving. Een werkruimte moet worden gebruikt om de gegevens te verzamelen en te analyseren en kan worden geïntegreerd met andere Azure-services, zoals Application Insights en Microsoft Defender for Cloud.

Kies resourcelogboeken die u wilt verzenden naar een Azure-opslagaccount of een Event Hub. Een ander platform kan ook worden gebruikt om de logboeken te analyseren.

• NSG-stroomlogboeken inschakelen

• Traffic Analytics inschakelen en gebruiken

• Netwerkbeveiliging van Microsoft Defender for Cloud begrijpen

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Network Watcher moet zijn ingeschakeld	Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Er moet een network watcher-resourcegroep worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er wordt een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio.	AuditIfNotExists, uitgeschakeld	3.0.0

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: DDoS Standard-beveiliging (Distributed Denial of Service) inschakelen op uw Azure Virtual Network om DDoS-aanvallen te beschermen.

Implementeer Azure Firewall op elk van de netwerkgrenzen van de organisatie waarbij filteren op basis van bedreigingsinformatie is ingeschakeld en geconfigureerd voor 'Waarschuwen en weigeren' voor schadelijk netwerkverkeer.

Gebruik de functies voor beveiliging tegen bedreigingen van Microsoft Defender for Cloud om communicatie met bekende schadelijke IP-adressen te detecteren.

Pas de aanbevelingen voor adaptieve netwerkbeveiliging van Microsoft Defender for Cloud toe voor configuraties van netwerkbeveiligingsgroepen die poorten en bron-IP's beperken op basis van werkelijke verkeers- en bedreigingsinformatie.

• Azure DDoS Protection Standard beheren met behulp van de Azure Portal

• filteren op basis van bedreigingsinformatie Azure Firewall

• Bedreigingsbeveiliging in Microsoft Defender for Cloud

• Adaptieve netwerkbeveiliging in Microsoft Defender voor cloud

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Alle internetverkeer moet worden gerouteerd via uw geïmplementeerde Azure Firewall	Microsoft Defender voor Cloud heeft vastgesteld dat sommige van uw subnetten niet worden beveiligd met een firewall van de volgende generatie. Bescherm uw subnetten tegen mogelijke bedreigingen door de toegang tot de subnetten te beperken met Azure Firewall of een ondersteunde firewall van de volgende generatie	AuditIfNotExists, uitgeschakeld	3.0.0-preview
Azure DDoS-beveiligingsstandaard moet zijn ingeschakeld	De standaard-DDoS-beveiliging moet zijn ingeschakeld voor alle virtuele netwerken met een subnet dat deel uitmaakt van een toepassingsgateway met een openbaar IP-adres.	AuditIfNotExists, uitgeschakeld	3.0.0

1.5: Netwerkpakketten vastleggen

Richtlijnen: gebruik de pakketopname van VPN Gateway naast veelgebruikte hulpprogramma's voor pakketopnamen om netwerkpakketten vast te leggen.

U kunt ook op agents gebaseerde of NVA-oplossingen bekijken die functionaliteit voor Terminal Access Point (TAP) of netwerkzichtbaarheid bieden via pakketbrokerpartneroplossingen die beschikbaar zijn in Azure Marketplace Aanbiedingen.

• Pakketopnamen configureren voor VPN-gateways

• Partner voor virtueel netwerkapparaat

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.Network:

Naam (Azure-portal)	Beschrijving	Gevolg(en)	Versie (GitHub)
Network Watcher moet zijn ingeschakeld	Network Watcher is een regionale service waarmee u voorwaarden op het niveau van netwerkscenario's in, naar en vanaf Azure kunt controleren en onderzoeken. Via controle op het scenarioniveau kunt u problemen analyseren met behulp van een weergave op het niveau van een end-to-end netwerk. Er moet een network watcher-resourcegroep worden gemaakt in elke regio waar een virtueel netwerk aanwezig is. Er wordt een waarschuwing ingeschakeld als een network watcher-resourcegroep niet beschikbaar is in een bepaalde regio.	AuditIfNotExists, uitgeschakeld	3.0.0

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Gebruik een Azure Firewall geïmplementeerd in uw virtuele netwerk met Bedreigingsinformatie ingeschakeld. Gebruik Azure Firewall filteren op basis van bedreigingsinformatie om verkeer van en naar bekende schadelijke IP-adressen en domeinen te weigeren. De IP-adressen en domeinen zijn afkomstig van de Microsoft Bedreigingsinformatie-feed.

U kunt ook een geschikte aanbieding selecteren in de Azure Marketplace die ondersteuning biedt voor IDS-/IPS-functionaliteit met mogelijkheden voor nettoladinginspectie.

Implementeer de firewalloplossing van uw keuze op elk van de netwerkgrenzen van uw organisatie om schadelijk verkeer te detecteren en/of te weigeren.

• Azure Firewall implementeren

• Waarschuwingen configureren met Azure Firewall

• Azure Marketplace

Verantwoordelijkheid: Klant

1.8: De complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: gebruik Virtual Network servicetags om besturingselementen voor netwerktoegang in netwerkbeveiligingsgroepen of Azure Firewall te definiëren. Servicetags kunnen worden gebruikt in plaats van specifieke IP-adressen bij het maken van beveiligingsregels. Sta het verkeer voor de bijbehorende service toe of weigert door de naam van de servicetag (bijvoorbeeld ApiManagement) op te geven in het juiste bron- of doelveld van een regel. Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.

Gebruik toepassingsbeveiligingsgroepen om complexe beveiligingsconfiguratie te vereenvoudigen. Met toepassingsbeveiligingsgroepen kunt u netwerkbeveiliging configureren als een natuurlijke uitbreiding van de structuur van een toepassing. Hiermee kunt u virtuele machines groeperen en netwerkbeveiligingsbeleid definiëren op basis van deze groepen.

• Servicetags begrijpen en gebruiken

• Toepassingsbeveiligingsgroepen begrijpen en gebruiken

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor netwerkbronnen met Azure Policy en controleer de ingebouwde netwerkbeleidsdefinities voor implementatie.

Raadpleeg het standaardbeleid voor Microsoft Defender for Cloud met beschikbare beveiligingsaanaanveling met betrekking tot uw virtuele netwerken.

Gebruik Azure Blueprints om grootschalige Azure-implementaties te vereenvoudigen door belangrijke omgevingsartefacten, zoals Azure Resource Manager-sjablonen, op rollen gebaseerd toegangsbeheer (Azure RBAC) en beleidsregels, in één blauwdrukdefinitie te verpakken. Azure Blueprint kan worden toegepast op nieuwe abonnementen voor nauwkeurig afgestemd beheer en beheer via versiebeheer.

• Azure Policy configureren en beheren

• Azure Policy voorbeelden voor netwerken

• Een Azure Blueprint maken

• Bewaking inschakelen in Microsoft Defender for Cloud

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor verkeer document

Richtlijnen: Tags gebruiken voor netwerkbeveiligingsgroepen en andere resources met betrekking tot netwerkbeveiliging en verkeersstroom. Gebruik het veld Beschrijving om bedrijfsbehoefte, duur en andere informatie op te geven voor regels die verkeer naar/van een netwerk toestaan voor afzonderlijke regels voor netwerkbeveiligingsgroepen. Gebruik een van de ingebouwde Azure Policy definities met betrekking tot taggen, zoals 'Tag en waarde vereisen' om ervoor te zorgen dat alle resources worden gemaakt met tags en u op de hoogte te stellen van bestaande niet-gemarkeerde resources.

Kies Azure PowerShell of Azure CLI om acties op te zoeken of uit te voeren op basis van hun tags.

• Tags maken en gebruiken

• Een Virtual Network maken

• Een NSG maken met een beveiligingsconfiguratie

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om resourceconfiguraties te bewaken en wijzigingen in uw virtuele netwerk te detecteren. Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke resources plaatsvinden.

• Gebeurtenissen in azure-activiteitenlogboek weergeven en ophalen

• Waarschuwingen maken in Azure Monitor

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Azure Monitor inschakelen voor toegang tot uw audit- en activiteitenlogboeken, waaronder gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen.

Gebruik in Azure Monitor Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag. U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Gebeurtenissen in azure-activiteitenlogboeken weergeven en ophalen

• Microsoft Sentinel onboarden

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Azure Monitor inschakelen voor toegang tot uw audit- en activiteitenlogboeken, waaronder gebeurtenisbron, datum, gebruiker, tijdstempel, bronadressen, doeladressen en andere nuttige elementen.

• Platformlogboeken en metrische gegevens verzamelen met Azure Monitor

• Gebeurtenissen in azure-activiteitenlogboeken weergeven en ophalen

Verantwoordelijkheid: Klant

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: stel binnen Azure Monitor de bewaarperiode van uw Log Analytics-werkruimte in op basis van de nalevingsregels van uw organisatie. Gebruik Azure Storage-accounts voor langetermijn-/archiveringsopslag van opslag in beveiligingslogboeken.

• De gegevensretentieperiode wijzigen in Log Analytics

• Bewaarbeleid configureren voor Azure Storage-accountlogboeken

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Analyseer en controleer logboeken op afwijkend gedrag en controleer regelmatig de resultaten. Gebruik de Log Analytics-werkruimte van Azure Monitor om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn-/archiveringsopslag.

U kunt ook gegevens inschakelen en onboarden bij Microsoft Sentinel of een SIEM van derden.

• Inzicht in Log Analytics-werkruimte

• Aangepaste query's uitvoeren in Azure Monitor

• Microsoft Sentinel onboarden

• Aan de slag met Azure Monitor en SIEM-integratie van derden

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Gebruik Microsoft Defender for Cloud met Log Analytics-werkruimte voor het bewaken en waarschuwen van afwijkende activiteiten in beveiligingslogboeken en -gebeurtenissen.

U kunt ook gegevens inschakelen en onboarden naar Microsoft Sentinel of een SIEM van derden voor waarschuwingen.

• Waarschuwingen beheren in Microsoft Defender voor Cloud

• Waarschuwingen over log analytics-logboekgegevens

• Microsoft Sentinel onboarden

Verantwoordelijkheid: Klant

2.9: DNS-querylogboekregistratie inschakelen

Richtlijnen: Implementeer een oplossing van derden uit Azure Marketplace voor DNS-logboekregistratieoplossing op basis van de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Gebruik ingebouwde beheerdersrollen van Azure Active Directory (Azure AD) die expliciet kunnen worden toegewezen en waarvoor query's kunnen worden uitgevoerd.

Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van beheergroepen.

• Een directoryrol ophalen in Azure AD met PowerShell

• Leden van een directoryrol ophalen in Azure AD met PowerShell

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: maak standaard operationele procedures rond het gebruik van toegewezen beheerdersaccounts. Gebruik Het identiteits- en toegangsbeheer van Microsoft Defender for Cloud om het aantal beheerdersaccounts te bewaken.

Just-In-Time/Just-Enough-toegang inschakelen met behulp van Azure Active Directory (Azure AD) Privileged Identity Management bevoorrechte rollen voor Microsoft-services en Azure Resource Manager.

• Meer informatie over Privileged Identity Management

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding van Azure Active Directory gebruiken

Richtlijnen: Gebruik eenmalige aanmelding met Azure Active Directory (Azure AD) in plaats van afzonderlijke zelfstandige referenties per service te configureren. Gebruik de aanbevelingen voor identiteits- en toegangsbeheer van Microsoft Defender for Cloud.

• Eenmalige aanmelding bij toepassingen in Azure AD

• Identiteit en toegang bewaken in Microsoft Defender for Cloud

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegang

Richtlijnen: Meervoudige verificatie van Azure Active Directory (Azure AD) inschakelen en de aanbevelingen voor identiteits- en toegangsbeheer van Microsoft Defender for Cloud volgen.

• Meervoudige verificatie inschakelen in Azure

• Identiteit en toegang bewaken in Microsoft Defender for Cloud

Verantwoordelijkheid: Klant

3.6: Veilige, door Azure beheerde werkstations gebruiken voor beheertaken

Richtlijnen: Privileged Access Workstations (PAW) gebruiken met meervoudige verificatie die is geconfigureerd om u aan te melden bij en toegang te krijgen tot Azure-netwerkresources.

• Meer informatie over Privileged Access Workstations

• Meervoudige verificatie inschakelen in Azure

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten vanuit beheerdersaccounts

Richtlijnen: Gebruik Risicodetecties van Azure Active Directory (Azure AD) om waarschuwingen en rapporten over riskant gebruikersgedrag weer te geven.

Opname van Waarschuwingen voor Microsoft Defender voor cloudrisicodetectie in Azure Monitor en configureer aangepaste waarschuwingen/meldingen met behulp van actiegroepen.

• Informatie over risicodetecties van Microsoft Defender for Cloud (verdachte activiteit)

• Azure-activiteitenlogboeken integreren in Azure Monitor

• Actiegroepen configureren voor aangepaste waarschuwingen en meldingen

Verantwoordelijkheid: Klant

3.8: Azure-resources beheren vanaf alleen goedgekeurde locaties

Richtlijnen: Gebruik voorwaardelijke toegang benoemde locaties om toegang toe te staan vanuit alleen specifieke logische groeperingen van IP-adresbereiken of landen/regio's.

• Benoemde locaties configureren in Azure

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Gebruik Azure Active Directory (Azure AD) als een centraal verificatie- en autorisatiesysteem voor uw services. Azure AD beschermt gegevens met behulp van sterke versleuteling voor data-at-rest en in transit, en ook salts, hashes en veilig gebruikersreferenties opslaat.

• Een Azure AD-instantie maken en configureren

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Gebruik Azure Active Directory (Azure AD) om logboeken te bieden om verlopen accounts te detecteren.

Azure Identity Access Reviews kunnen worden uitgevoerd om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Gebruikerstoegang moet regelmatig worden gecontroleerd om ervoor te zorgen dat alleen de actieve gebruikers toegang hebben.

• Inzicht in Azure AD rapportage

• Azure Identity Access Reviews gebruiken

Verantwoordelijkheid: Klant

3.11: Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: Integreer aanmeldingsactiviteiten van Azure Active Directory (Azure AD), audit- en risicogebeurtenislogboekbronnen met een SIEM- of bewakingsprogramma op basis van uw toegang.

Stroomlijn dit proces door diagnostische instellingen te maken voor Azure AD gebruikersaccounts en het verzenden van de auditlogboeken en aanmeldingslogboeken naar een Log Analytics-werkruimte. Alle gewenste waarschuwingen kunnen worden geconfigureerd in log analytics-werkruimte.

• Azure-activiteitenlogboeken integreren in Azure Monitor

Verantwoordelijkheid: Klant

3.12: Afwijking van aanmeldingsgedrag voor accountwaarschuwingen

Richtlijnen: Gebruik de functies risico- en identiteitsbeveiliging van Azure Active Directory (Azure AD) om geautomatiseerde reacties te configureren op gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten voor uw virtuele netwerk. Gegevens opnemen in Microsoft Sentinel voor verdere onderzoeken.

• Riskante Azure AD-aanmeldingen weergeven

• Risicobeleid voor Identiteitsbeveiliging configureren en inschakelen

• Microsoft Sentinel onboarden

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Versleutel alle gevoelige informatie die onderweg is. Zorg ervoor dat clients die verbinding maken met uw Azure-resources in uw virtuele netwerken, tls 1.2 of hoger kunnen onderhandelen. Volg de aanbevelingen van Microsoft Defender for Cloud voor versleuteling at rest en versleuteling tijdens overdracht.

Microsoft biedt verschillende opties die door klanten kunnen worden gebruikt voor het intern beveiligen van gegevens die intern in het Azure-netwerk en extern via internet naar de eindgebruiker worden verzonden. Deze omvatten communicatie via virtuele particuliere netwerken (met IPsec-/IKE-versleuteling), Transport Layer Security (TLS) 1.2 of hoger (via Azure-onderdelen zoals Application Gateway of Azure Front Door), protocollen rechtstreeks op de virtuele Azure-machines (zoals Windows IPsec of SMB) en meer.

Bovendien is 'versleuteling standaard' met MACsec (een IEEE-standaard op de gegevenskoppelingslaag) ingeschakeld voor al het Verkeer tussen Azure-datacenters om de vertrouwelijkheid en integriteit van klantgegevens te waarborgen.

• Inzicht in versleuteling tijdens overdracht met Azure

Verantwoordelijkheid: Gedeeld

4.6: Azure RBAC gebruiken om de toegang tot resources te beheren

Richtlijnen: op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) gebruiken om de toegang tot gegevens en resources te beheren. Gebruik anders servicespecifieke toegangsbeheermethoden.

Kies ingebouwde rollen, zoals Eigenaar, Inzender of Netwerkbijdrager en wijs de rol toe aan het juiste bereik. U kunt bijvoorbeeld een subset van mogelijkheden voor virtuele netwerken toewijzen met de specifieke machtigingen die vereist zijn voor virtuele netwerken aan een van deze rollen.

• Azure RBAC configureren

• Virtuele netwerken plannen

• De ingebouwde Azure-rollen controleren

Verantwoordelijkheid: Klant

4.9: Logboek en waarschuwing over wijzigingen in kritieke Azure-resources

Richtlijnen: Gebruik Azure Monitor met de Azure-activiteitenlogboeken om waarschuwingen te maken voor wanneer wijzigingen plaatsvinden in kritieke Azure-resources, zoals virtuele netwerken en netwerkbeveiligingsgroepen.

• Diagnostische logboekregistratie voor een netwerkbeveiligingsgroep

• Waarschuwingen maken voor Azure-activiteitenlogboeken

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventaris en Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om query's uit te voeren op alle netwerkresources, zoals virtuele netwerken, subnetten binnen uw abonnementen. Zorg ervoor dat u over de juiste (lees)machtigingen in uw tenant beschikt en dat u alle Azure-abonnementen en resources in uw abonnementen kunt inventariseren.

• Query's maken met Azure Graph

• Uw Azure-abonnementen weergeven

• Inzicht in Azure RBAC

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources die metagegevens geven om ze logisch te ordenen in een taxonomie.

• Tags maken en gebruiken

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig taggen, beheergroepen en afzonderlijke abonnementen om virtueel netwerk en gerelateerde resources te organiseren en bij te houden. Inventaris regelmatig afstemmen en ervoor zorgen dat niet-geautoriseerde resources tijdig uit het abonnement worden verwijderd.

• Aanvullende Azure-abonnementen maken

• Beheergroepen maken

• Tags maken en gebruiken

Verantwoordelijkheid: Klant

6.4: Inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: U moet een inventaris maken van goedgekeurde Azure-resources en goedgekeurde software voor rekenresources op basis van de behoeften van uw organisatie.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

• Niet toegestane resourcetypen

• Toegestane brontypen

Query's uitvoeren op resources binnen de abonnementen met Azure Resource Graph in omgevingen met hoge beveiliging, zoals resources met Azure Storage-accounts.

• Azure Policy configureren en beheren

• Query's maken met Azure Graph

• Ingebouwde Azure Policy-voorbeelden voor virtueel netwerk

Verantwoordelijkheid: Klant

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: Voorkomen dat resources worden gemaakt of gebruikt met Azure Policy zoals vereist door het beleid van de organisatie. Implementeer processen voor het verwijderen van niet-geautoriseerde resources.

• Azure Policy configureren en beheren

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

• Niet toegestane resourcetypen

• Toegestane brontypen

Raadpleeg de volgende bronnen voor meer informatie:

• Azure Policy configureren en beheren

• Een specifiek resourcetype weigeren met Azure Policy

• Ingebouwde Azure Policy-voorbeelden voor virtueel netwerk

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Gebruik voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door toegang blokkeren te configureren voor de App Microsoft Azure Management.

• Voorwaardelijke toegang configureren om de toegang tot Azure Resource Manager te blokkeren

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: gebruik Azure Policy aliassen om aangepast beleid te maken om de configuratie van uw Azure-netwerkresources te controleren of af te dwingen en ook ingebouwde Azure Policy definities te gebruiken.

Exporteer een van uw buildsjablonen met Azure Resource Manager in het JSON-formulier (JavaScript Object Notation) en controleer deze om ervoor te zorgen dat de configuraties voldoen aan de beveiligingsvereisten voor uw organisatie of deze overschrijden.

Implementeer aanbevelingen van Microsoft Defender voor Cloud als een veilige configuratiebasislijn voor uw Azure-resources.

• Beschikbare Azure Policy aliassen weergeven

• Zelfstudie: Beleidsregels voor het afdwingen van naleving maken en beheren

• Ingebouwde Azure Policy-voorbeelden voor virtueel netwerk

• Eén en meerdere resources exporteren naar een sjabloon in Azure Portal

• Aanbevelingen voor beveiliging: een naslaggids

Verantwoordelijkheid: Klant

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: Azure Resource Manager-sjablonen en Azure-beleid gebruiken om Veilig Azure-resources te configureren die zijn gekoppeld aan het virtuele netwerk en gerelateerde resources. Azure Resource Manager-sjablonen zijn JSON-bestanden (JavaScript Object Notation) die worden gebruikt om virtuele machines samen met Azure-resources te implementeren. Microsoft voert het onderhoud uit op de basissjablonen.

Gebruik Azure Policy effecten [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor uw Azure-resources.

• Informatie over het maken van Azure Resource Manager-sjablonen

• Azure Policy configureren en beheren

• Inzicht in Azure Policy effecten

• Voorbeeldsjablonen van Azure Resource Manager voor virtueel netwerk

• Ingebouwde Azure Policy-voorbeelden voor virtueel netwerk

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Gebruik Azure DevOps om uw code veilig op te slaan en te beheren, zoals aangepast Azure-beleid, Azure Resource Manager-sjablonen, gewenste statusconfiguratiescripts. enzovoort.

U moet machtigingen hebben voor toegang tot de resources die u wilt beheren in Azure DevOps, zoals uw code, builds en het bijhouden van werk. De meeste machtigingen worden verleend via ingebouwde beveiligingsgroepen. U kunt machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Active Directory, indien geïntegreerd met Team Foundation Server.

• Code opslaan in Azure DevOps

• Over machtigingen en groepen in Azure DevOps

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties voor Azure-resources met behulp van Azure Policy. Gebruik Azure Policy aliassen om aangepast beleid te maken om de netwerkconfiguratie van uw Azure-resources en ingebouwde beleidsdefinities met betrekking tot specifieke resources te controleren of af te dwingen.

• Azure Policy configureren en beheren

• Aliassen gebruiken

• Ingebouwde Azure Policy-voorbeelden voor virtueel netwerk

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik Microsoft Defender for Cloud om basislijnscans uit te voeren voor uw Azure-Virtual Network en gerelateerde resources. Gebruik Azure Policy om azure-resourceconfiguraties te waarschuwen en te controleren.

• Aanbevelingen herstellen in Microsoft Defender voor Cloud

• Azure Policy configureren en beheren

• Ingebouwde Azure Policy-voorbeelden voor virtueel netwerk

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Gebruik Managed Service Identity in combinatie met Azure Key Vault om het beheer van geheimen te vereenvoudigen en te beveiligen voor uw Azure-resources die worden gehost in een Azure-Virtual Network.

• Integreren met Azure Managed Identities

• Een Key Vault maken

• Key Vault verificatie opgeven met een beheerde identiteit

Verantwoordelijkheid: Klant

7.13: Onbedoelde referentieblootstelling elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Door het gebruik van Credential Scanner worden gebruikers ook aangemoedigd om gedetecteerde referenties naar veiligere locaties, zoals Azure Key Vault, te verplaatsen.

• Referentiescanner instellen

Verantwoordelijkheid: Klant

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Zorg voor regelmatige geautomatiseerde back-ups

Richtlijnen: Azure Resource Manager gebruiken om een virtueel netwerk en gerelateerde resources te implementeren. Azure Resource Manager biedt de mogelijkheid om sjablonen te exporteren die kunnen worden gebruikt als back-ups om virtueel netwerk en gerelateerde resources te herstellen. Gebruik Azure Automation om de Export-API voor Azure Resource Manager-sjablonen regelmatig aan te roepen.

• Overzicht van Azure Resource Manager

• Voorbeeldsjablonen van Azure Resource Manager voor virtueel netwerk

• Eén en meerdere resources exporteren naar een sjabloon in Azure Portal

• Resourcegroepen - Sjabloon exporteren

• Inleiding tot Azure Automation

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups en back-ups maken van door de klant beheerde sleutels

Richtlijnen: Azure Resource Manager gebruiken om een virtueel netwerk en gerelateerde resources te implementeren. Azure Resource Manager biedt de mogelijkheid om sjablonen te exporteren die kunnen worden gebruikt als back-ups om virtueel netwerk en gerelateerde resources te herstellen. Gebruik Azure Automation om de Export-API voor Azure Resource Manager-sjablonen regelmatig aan te roepen. Maak een back-up van door de klant beheerde sleutels in Azure Key Vault.

• Overzicht van Azure Resource Manager

• Voorbeeldsjablonen van Azure Resource Manager voor virtueel netwerk

• Eén en meerdere resources exporteren naar een sjabloon in Azure Portal

• Resourcegroepen - Sjabloon exporteren

• Inleiding tot Azure Automation

• Back-up maken van sleutelkluissleutels in Azure

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Voer regelmatig implementatie van Azure Resource Manager-sjablonen uit naar een geïsoleerd abonnement en test het herstellen van back-ups van door de klant beheerde sleutels.

• Resources implementeren met ARM-sjablonen en Azure Portal

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Azure DevOps gebruiken om uw code veilig op te slaan en te beheren, zoals aangepaste Azure Policy definities en Azure Resource Manager-sjablonen.

Machtigingen verlenen of weigeren voor specifieke gebruikers, ingebouwde beveiligingsgroepen of groepen die zijn gedefinieerd in Azure Active Directory (Azure AD) als deze zijn geïntegreerd met Azure DevOps of Active Directory, indien geïntegreerd met Team Foundation Server.

Gebruik op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) om door de klant beheerde sleutels te beveiligen.

Schakel Soft-Delete- en opschoningsbeveiliging in Key Vault in om sleutels te beschermen tegen onbedoelde of schadelijke verwijdering.

• Code opslaan in Azure DevOps

• Over machtigingen en groepen in Azure DevOps

• Beveiliging tegen Soft-Delete en opschonen inschakelen in Key Vault

• Voorlopig verwijderen voor Azure Storage-blobs

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

• Richtlijnen voor het bouwen van uw eigen proces voor het reageren op beveiligingsincidenten

• Anatomie van een incident van Microsoft Security Response Center

• Maak gebruik van de Computer Security Incident Handling Guide van NIST om u te helpen bij het maken van uw eigen plan voor incidentrespons

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Microsoft Defender voor Cloud wijst een ernst toe aan elke waarschuwing om u te helpen prioriteit te geven aan welke waarschuwingen eerst moeten worden onderzocht. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid.

Markeer duidelijk abonnementen (bijvoorbeeld productie of niet-productie) met behulp van tags en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en categoriseren, met name die gevoelige gegevens verwerken. Het is uw verantwoordelijkheid om prioriteit te geven aan het oplossen van waarschuwingen op basis van de ernst van de Azure-resources en -omgeving waarin het incident heeft plaatsgevonden.

• Beveiligingswaarschuwingen in Microsoft Defender voor Cloud

• Tags gebruiken om Azure-resources te organiseren

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de reactiemogelijkheden van uw systemen regelmatig te testen om uw Azure-resources te beschermen. Stel vast waar zich zwakke plekken en hiaten bevinden, en wijzig zo nodig het plan.

• Publicatie van NIST - Handleiding voor test-, trainings- en oefeningsprogramma's voor IT-plannen en -mogelijkheden

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat uw gegevens zijn geopend door een onrechtmatige of onbevoegde partij. Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

• De contactpersoon voor Microsoft Defender for Cloud Security instellen

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Exporteer uw Waarschuwingen en aanbevelingen van Microsoft Defender for Cloud met behulp van de functie Continue export om risico's voor Azure-resources te identificeren. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren.

U kunt ook de Microsoft Defender for Cloud-gegevensconnector gebruiken om de waarschuwingen naar Microsoft Sentinel te streamen.

• Continue export configureren

• Waarschuwingen streamen naar Microsoft Sentinel

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en aanbevelingen om uw Azure-resources te beveiligen.

• Werkstroomautomatisering en Logic Apps configureren

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Microsoft-regels voor betrokkenheid om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Gebruik de strategie en uitvoering van Red Teaming en live site-penetratietests voor door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen.

• Regels voor het inzetten van penetratietests

• Microsoft Cloud Red Teaming

Verantwoordelijkheid: Gedeeld

Volgende stappen

• Zie Overzicht Azure Security Benchmark V2
• Meer informatie over Azure-beveiligingsbasislijnen